תוקפי סיבר עם טקטיקות הטעיה

יום א', 9 באוקטובר 2016

 

 

התוקפים מאחורי התקפות ממוקדות משתמשים בטווח הולך ומתרחב של טכניקות הטעיה (False Flags) כדי לטשטש את מקור ההתקפה. בין היתר הם שותלים חותמות זמן מזויפות, קוד זדוני ומחרוזות בשפות שונות, או מציגים פעילות בכיסוי של קבוצות שאינן קיימות – כך עולה מדוח חדש שמפרסמים היום חוקרי מעבדת קספרסקי בריאן ברת'ולומיו וחואן אנדרס גאוררו-סייד.

זהותה של הקבוצה העומדת מאחורי מתקפת סייבר ממוקדת היא אחת השאלות המרכזיות שכולם רוצים לענות עליה, למרות העובדה שקשה, אם לא בלתי אפשרי, להצביע במדויק על הגורם היוזם. כדי להציג את המורכבות הגוברת וחוסר הוודאות שבניסיון לבצע ייחוס של מתקפות במסגרת מודיעין האיומים, פרסמו שני חוקרי מעבדת קספרסקי דוח החושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה.

להלן המאפיינים המרכזיים שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, והסבר כיצד מספר  שחקני איום בלתי מוכרים מבצעים בהם מניפולציות:

 

•          חותמות זמן - Timestamps

קבצי קוד זדוני מכילים חותמות זמן המתעדות את הזמן בו נסגרו הקבצים. אם נאספות מספיק דוגמיות כאלו,  ניתן לקבוע את שעות העבודה של המפתחים, והדבר יכול להצביע על אזור הזמן הכללי של הפעילות שלהם. עם זאת, חותמות זמן שכאלה קל מאוד לשנות.

 

•          סימני שפה

קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל- Debug, ואלה יכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה או השפות שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה שלDebug יכולות לחשוף שמות משתמש וכן שיטות למתן שמות פנימיים של קמפיינים או פרויקטים. בנוסף, מסמכי פישינג עלולים לשאת מטה-דאטה אשר יכול בטעות לשמור פרטים המצביעים על המחשב האמיתי של הכותב.

עם זאת, השחקנים בתחום יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים. סממני שפה מטעים בקוד הזדוני של Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלאקברי, סימנים בהודית בגרסת האנדרואיד ואת המילים johnClerk בכתובת ההפניה לפרויקט בגרסת ה-  iOS – זאת בעוד שרבים חושדים כי הקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני ששימש את השחקן Wild Neutronכולל מחרוזות שפה גם ברומנית וגם ברוסית.

 

•          תשתית וקישורים לשרתי השליטה

מציאת שרתי הפיקוד והשליטה המשמשים את התוקפים דומה למציאת כתובת הבית שלהם. תשתית פיקוד ושליטה יכולה להיות יקרה וקשה לתחזוקה, כך שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, במידה והם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם כאשר הם מחלצים מידע ממחשב נגוע או שרת דואר, או כאשר הם מכינים את הבמה לשרת פישינג או מבצעים כניסה לשרת פרוץ.

עם זאת, לעיתים "כשל" כזה הוא מכוון: תוקפי Cloud Atlas ניסו לבלבל את החוקרים באמצעות שימוש בכתובות IP שמקורן בדרום קוריאה.

 

•          ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה

למרות שחלק מהשחקנים מסתמכים כעת על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות, והם שומרים עליהם בקנאות. לכן ההופעה של משפחה מסוימת של קוד זדוני יכולה לגרום לחוקרים להתביית על שחקן מסוים.

הגורם שמאחורי Turla החליט לנצל את ההשערה הזו כאשר הוא מצא את עצמו מכותר בתוך מערכת נגועה. במקום למשוך את הקוד הזדוני שלו, הוא התקין קוד זדוני סיני נדיר שיצר קשר עם תשתית הממוקמת בבייג'ין – שאינה קשורה כלל ל- Turla. בעוד צוות התגובה של הקורבן רדף אחר קוד הפתיון הזדוני, Turla הסירו בשקט את הקוד הזדוני שלהם ומחקו כל זכר ממנו במערכות הקורבן.

 

•          קורבנות המטרה

זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של Wild Neutron, לדוגמא, רשימת הקורבנות הייתה כה מגוונת שהיא רק הקשתה על ייחוס.

יותר מכך, חלק מגורמי האיום מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם כשהם פועלים במסווה של קבוצות האקטיביסטים. זה מה ש-Lazarus group ניסתה לעשות באמצעות הצגתה כ"מגני השלום" כאשר תקפה את סוני ב- 2014. רבים מאמינים כי שחקן האיום הידוע כ- Sofacy השתמש בטקטיקה דומה, כשהוא מתחזה למספר קבוצות האקטיביסטים.

לסיום, אך לא פחות חשוב, לעיתים תוקפים ינסו להטיל את האשמה על שחקן אחר. גישה זו אומצה על ידי השחקן שעדיין לא זוהה TigerMilk, אשר חתם את הדלת האחורית שיצר באמצעות אותה תעודה גנובה ששימשה את סטוקסנט.